VPN技术原理与应用

VPN概念：

VPN其基本技术原理是把需要经过公共网的传递报文加密处理后，再由公共网络发送到目的地。利用VPN技术能够在不可信任的公告网络上构建一条安全通道，（相当于建了条管道，其他人看不见管道里面）经过VPN传输的数据在公共网上具有保密性

VPN是通过密码算法，标识鉴别，安全协议等相关技术，在公共的物理网络上通过逻辑方式造出来的安全网络

VPN的安全功能：

保密性服务：防止传输的信息被监听。

完整性服务：防止传输的信息被修改。

认证服务：提供用户和设备的访问认证，防止非法接入。

VPN技术风险：

1.VPN产品代码实现的安全缺陷。VPN产品的实现涉及多种协议，密码算法等，编程处理不当，极易导致产品代码安全缺陷，从而使得VPN产品出现安全问题。

2.VPN密码算法安全缺陷。VPN产品如果选择非安全的密码算法或者选择不好的密码参数，都有可能导致VPN系统出现安全问题，不能起到安全保护的作用。

3.VPN管理不当引发的安全缺陷。VPN的管理不当导致密码泄露，非授权访问等问题。

VPN的类型和实现技术：

链路层VPN（ATM,Frame RElay,多协议标签交换MPLS），网络层VPN（受控路由过滤，隧道技术），传输层VPN（SSL来实现）。

VPN的核心技术是密码算法，VPN利用密码算法，对需要传递的信息进行加密变换，从而确保网络上未授权的用户无法读取该信息。

IPSec:

在TCP/IP协议网络中，由于IP协议的安全脆弱性，如假冒地址，易受篡改，窃听等，成立了IPSEC工作组，制定了相关的IP安全系列规范：认证头（AH），封装安全有效负荷（ESP）以及密钥交换协议

IPAH：又称认证头协议，其目的是保证IP包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性，数据源鉴别和抗重放攻击服务。

IPESP：也是一种安全协议，其用途在于保证IP包的保密性，基本方法是将IP包进行加密处理，对整个IP包或IP的数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方。

AH和ESP都有两种工作模式，即透明模式和隧道模式。

透明模式只保护ip包中的数据域，而隧道模式则保护IP包的包头和数据域。

密钥交换协议：互联网密钥交换协议IKE，互联网安全关联与密钥管理协议ISAKMP，密钥交换协议Oakley

VPN的应用场景：

远程访问虚拟网，主要解决远程用户安全办公问题，既要远程获取到企业内部网信息，又要能保证用户和企业内网的安全。

企业内部虚拟网，把分散在不同地理区域的企业办公点的局域网安全互联起来，实现企业内部信息的安全共享和企业办公自动化。

企业扩展虚拟网，在公共通信基础设施上把合作伙伴的网络或主机安全接到企业内部网，以便企业与合作伙伴共享信息和服务。